保密風險評估及管理制度匯編

1/8.保密風險評估與管理制度第一條本制度規(guī)定了所采用的風險評估方法。通過識別信息資產(chǎn)、風險等級評估,認知公司的風險,在考慮控制成本與風險平衡的前提下選擇合適控制目標和控制方式將風險第一次完整的風險評估和定期的再評估。在辨識資產(chǎn)時,本著盡量細化的原則進行,但在評估時我司又會把資產(chǎn)按照系統(tǒng)進行規(guī)劃。辨識與評估的重點是信息資產(chǎn),不區(qū)分物理資產(chǎn)、軟件和硬件。第三條技術部負責牽頭成立風險評估小組。第四條風險評估小組每半年至少一次,或當體系、組織、業(yè)務、技術、環(huán)境等影響企業(yè)的重大事項發(fā)生變更、重大事門使用或管理的信息資產(chǎn)的識別和風險評估,并負責部門所涉及的信息資產(chǎn)的具體安全控制第六條各部門負責人負責部門的信息資產(chǎn)識別。技術部經(jīng)理負責匯總、校對全公司的信息資產(chǎn)。第七條技術部負責風險評估的策劃。第八條技術部牽頭成立風險評估小組,小組成員至少應2/8.該包含：管理保密部門的成員、重要責任部門的成員。第九條信息資產(chǎn)2)硬件：計算機設備、通訊設備、可移動介質(zhì)和其他設3)數(shù)據(jù)：數(shù)據(jù)庫數(shù)據(jù)、系統(tǒng)文檔、計劃、報告、用戶手冊、客戶配置策略等4)服務：培訓服務、租賃服務、公用設施〔能源、電力。5)文檔：紙質(zhì)的各種文件、傳真、電報、財務報告、發(fā)展計劃等培訓軟件、支持性程序、業(yè)務連續(xù)性計劃、應變安排、審核記錄、審核的追蹤、歸檔信息。第十一條評估程序本評估應考慮：范圍、目的、時間、效果、組織文化、人員素質(zhì)以及具體開展的程度等因素來確定,使之能夠與組織的環(huán)境和安全要求相適應。第十二條資產(chǎn)屬性賦值資產(chǎn)賦值是對資產(chǎn)安全價值的估價,而不是以資產(chǎn)的賬3/8.面價格來衡量的。在對資產(chǎn)進行估價時,不僅要考慮資產(chǎn)的于組織業(yè)務的安全重要性,即根據(jù)資產(chǎn)損失所引發(fā)的潛在的商務影響來決定。為確保資產(chǎn)估價時的一致性和準確性,機構應按照上述原則,建立一個資產(chǎn)價值尺度〔資產(chǎn)評估標準,以明確如何對資產(chǎn)進行賦第十三條資產(chǎn)估價的過程也就是對資產(chǎn)保密性、完整性和可用性影響分析的過程。影響就是由人為或突發(fā)性引起的安全事件對資產(chǎn)破壞的后果。這一后果可能毀滅某些資產(chǎn),危及信息系統(tǒng)并使其喪失保密性、完整性和可用性,最終還會導致財產(chǎn)損失、市場份額或公司形象的損失。特別重要的是,即使每一次影響引起的損失并不大,但長期積累的眾多意外事件的影響總和則可造成嚴重損失。一般情況下,影響4/8.資產(chǎn)安全屬性的不同通常也意味著安全控制、保護功能需求的不同。通過考察三種不同安全屬性,可以能夠基本反賦值標識定義指組織最重要的機密,關系組織未來發(fā)展5極高的前途命運,對組織根本利益有著決定性影響,如果泄漏會造成災難性的影響是指包含組織的重要秘密,其泄露會使組4高織的安全和利益遭受嚴重損害是指包含組織一般性秘密,其泄露會使組3中等織的安全和利益受到損害指僅在組織內(nèi)部或在組織某一部門內(nèi)部公害對社會公開的信息,公用的信息處理設備1可忽略和系統(tǒng)資源等信息資產(chǎn)賦值標識定義5/8.5極高造成嚴重的業(yè)務中斷,難以彌補完整性價值較高,未經(jīng)授權的修改或破壞會4高對評估體造成重大影響,對業(yè)務沖擊嚴重,完整性價值中等,未經(jīng)授權的修改或破壞會3中等對評估體造成影響,對業(yè)務沖擊明顯,但可完整性價值較低,未經(jīng)授權的修改或破壞會2低對評估體造成輕微影響,可以忍受,對業(yè)務沖擊輕微,容易彌補可忽完整性價值非常低,未經(jīng)授權的修改或破壞1略會對評估體造成的影響可以忽略,對業(yè)務沖可以忽略賦值標識定義可用性價值非常高,合法使用者對信息系統(tǒng)資源的可用度達到年度99.9%以上4可用性價值較高,合法使用者對信息系統(tǒng)及高46/8.可用性價值中等,合法使用者對信息系統(tǒng)及3中等資源的可用度在正常上班時間達到90%以上可用性價值較低,合法使用者對信息系統(tǒng)及2低資源的可用度在正常上班時間達到25%以上可忽可用性價值可以忽略,法使用者對信息系統(tǒng)1略及資源的可用度在正常上班時間低于25%第十七條資產(chǎn)賦值最終資產(chǎn)價值可以通過違反資產(chǎn)的保密性、完整性和可用性三個方面的程度綜合確定,資產(chǎn)的賦值采用定性的相對等級的方式。與以上安全屬性的等級相對應,資產(chǎn)價值的等相對價值,等級越大,資產(chǎn)越重要。具體每一級別的資產(chǎn)價值由于資產(chǎn)最終價值的等級評估是依據(jù)資產(chǎn)保密性、完整性、可用性的賦值級別,經(jīng)過綜合評定得出的,評定準則可以根據(jù)企業(yè)自身的特點,選擇以安全三性中要求最高的一種的賦值級別為綜合資產(chǎn)賦值準則。等級標識資產(chǎn)價值定義5很高能導致系統(tǒng)受到非常嚴重的影響7/8高高中低4能導致系統(tǒng)受到比較嚴重的影響3能導致系統(tǒng)受到中等程度的影響2能導致系統(tǒng)受到較低程度的影響第十八條每半年重新評估一次,以確定是否存在新的威脅或薄弱點及是否需要增加新的控制措施,對發(fā)生以下情況需b>當信息網(wǎng)絡系統(tǒng)發(fā)生重大更改時；c>保密工作領導小組確定有必要時。第十九條各部門對新增加、轉移的或授權銷毀的資產(chǎn)應及時在《設備管理臺賬》上予以添加或變更。第二十條保密風險評估公司保密辦公室定期對系統(tǒng)集成業(yè)務、人員、資產(chǎn)、場所等主要管理活動,進行保密風險評估。各部門對照業(yè)務流程對保密風險進行識別、分析和評估,做出具體防